1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Spybot oder virus?? ich brauche hilfe bitte

Discussion in 'Sicherheit' started by dejavue123, Dec 8, 2008.

Thread Status:
Not open for further replies.
  1. dejavue123

    dejavue123 ROM

    Hallo erstmal

    Ich habe folgendes Problem:

    Ca. alle 2-3 Minuten öffnet sich mein internet-explorer und eine werbe.seite öffnet sich (immer verschiedne). Mitlerweile lässt er sich gar nicht mehr öffnen und es kommt jedes mal eine Fehlermeldung. Zwischenzeitlich ist sogar mein Mozilla Firefox ausgefallen, doch das ließ sich beheben.

    kann mir bitte jemand helfen?

    würde mich über eine schnelle Antwort freuen

    MFG troja

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:55:37, on 08.12.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Programme\ICQ6\ICQ.exe
    C:\Dokumente und Einstellungen\Martin Kolb\Anwendungsdaten\gadcom\gadcom.exe
    C:\Dokumente und Einstellungen\Martin Kolb\Anwendungsdaten\Twain\Twain.exe
    C:\Dokumente und Einstellungen\Martin Kolb\Anwendungsdaten\SpeedRunner\SpeedRunner.exe
    C:\Dokumente und Einstellungen\Martin Kolb\Anwendungsdaten\Microsoft\Windows\ahsjr.exe
    C:\AppServ\MySQL\bin\mysqld-nt.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\RapidSolution\RS ******* One\Tunebite\Tunebite.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66016
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.defaulthomepage.info
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66016
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66016
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66016
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66016
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
    O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe"
    O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [*******ElbyCDFL] "C:\Programme\Elaborate Bytes\*******\ElbyCheck.exe" /L ElbyCDFL
    O4 - HKLM\..\Run: [*******Tray] "C:\Programme\Elaborate Bytes\*******\*******Tray.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [046faa20] rundll32.exe "C:\WINDOWS\system32\ibmshcqr.dll",b
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Avi Player] "C:\Programme\Avi Player\AviPlayer.exe" hmw
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
    O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EADM\Core.exe -silent
    O4 - HKCU\..\Run: [gadcom] "C:\Dokumente und Einstellungen\Martin Kolb\Anwendungsdaten\gadcom\gadcom.exe" 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257
    O4 - HKCU\..\Run: [Twain] C:\Dokumente und Einstellungen\Martin Kolb\Anwendungsdaten\Twain\Twain.exe
    O4 - HKCU\..\Run: [SpeedRunner] C:\Dokumente und Einstellungen\Martin Kolb\Anwendungsdaten\SpeedRunner\SpeedRunner.exe
    O4 - HKCU\..\Run: [SfKg6wIP] C:\Dokumente und Einstellungen\Martin Kolb\Anwendungsdaten\Microsoft\Windows\ahsjr.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
    O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: txkkge.dll
    O23 - Service: Apache2.2 - Apache Software Foundation - C:\AppServ\Apache2.2\bin\httpd.exe
    O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: mysql - Unknown owner - C:\AppServ\MySQL\bin\mysqld-nt.exe
    O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

    --
    End of file - 7816 bytes
     
    dejavue123, Dec 8, 2008
    #1
  2. -humi-

    -humi- Joker

    bitte lasse folgendes auf Virustotal bzw Jotti scannen, poste anschl.hier das Ergebis:
    Code:
    [B]C:\Dokumente und Einstellungen\Martin Kolb\Anwendungsdaten\gadcom\gadcom.exe[/B]
C:\Dokumente und Einstellungen\Martin Kolb\Anwendungsdaten\Twain\Twain.exe
C:\Dokumente und Einstellungen\Martin Kolb\Anwendungsdaten\SpeedRunner\SpeedRunner.exe
[B]C:\Dokumente und Einstellungen\Martin Kolb\Anwendungsdaten\Microsoft\Windows\ahsjr.exe[/B]
[B]C:\WINDOWS\system32\ibmshcqr.dll[/B]
[B]C:\Programme\Avi Player\AviPlayer.exe[/B]
C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
    Java ist veraltet, und ich sehe schwarz
     
    -humi-, Dec 8, 2008
    #2
  3. dejavue123

    dejavue123 ROM

    vielen dank für die schnelle antwort

    siht zwar nen bissel unordentlich aus aba hoffe es hilft dir/euch mein Problem zu lösen


    Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - TR/Agent.asmf Authentium - - W32/Downloader.F.gen!Eldorado Avast - - - AVG - - Agent.AOEW BitDefender - - Trojan.Generic.1215518 CAT-QuickHeal - - - ClamAV - - - Comodo - - - DrWeb - - - eSafe - - Win32.Agent.asmf eTrust-Vet - - - Ewido - - - F-Prot - - W32/Downloader.F.gen!Eldorado F-Secure - - Trojan.Win32.Agent.asmf Fortinet - - W32/Agent.ASMF!tr GData - - Trojan.Generic.1215518 Ikarus - - Trojan-Downloader.Win32.Padcom K7AntiVirus - - Trojan.Win32.Agent.asmf Kaspersky - - Trojan.Win32.Agent.asmf McAfee - - Generic Downloader.x McAfee+Artemis - - Generic Downloader.x Microsoft - - TrojanDownloader:Win32/Padcom.A NOD32 - - Win32/TrojanDownloader.Agent.OOL Norman - - W32/Agent.JSLR Panda - - Trj/Downloader.UZE PCTools - - Trojan.Agent!sd6 Prevx1 - - Adware Rising - - - SecureWeb-Gateway - - Trojan.Agent.asmf Sophos - - Mal/Generic-A Sunbelt - - - Symantec - - Infostealer TheHacker - - - TrendMicro - - PAK_Generic.001 VBA32 - - Trojan.Win32.Agent.asmf ViRobot - - Trojan.Win32.Agent.56832.I VirusBuster - - - weitere Informationen MD5: 8c9d0929a80ef287e3979ef09e7c9abf SHA1: ecdc8d06cca7b610ced4da0919f3ec340420e2c7 SHA256: ac7adf4f99f4ba76fa15c9f9962a895504658770c008a8bf3e86a5d0eed859f4 SHA512: 33dc804b288023640d86df1be0a41df25ab5d50d14712bf787721d26809272ddc333618344a6c16a539a93a98f64b05063897ce3e134f7bb5f4e12e269aa523b

    AhnLab-V3 2008.11.27.4 2008.11.28 Win-Trojan/Agent.35328.GG
    AntiVir 7.9.0.35 2008.11.27 TR/Dldr.Agent.qqn
    Authentium 5.1.0.4 2008.11.28 W32/Downldr2.EKWB
    Avast 4.8.1281.0 2008.11.27 Win32:Downloader-BUX
    AVG 8.0.0.199 2008.11.27 Agent.ZXZ
    BitDefender 7.2 2008.11.28 Trojan.Generic.797264
    CAT-QuickHeal 10.00 2008.11.27 TrojanDownloader.Agent.afxv
    ClamAV 0.94.1 2008.11.28 Trojan.Downloader-49917
    DrWeb 4.44.0.09170 2008.11.28 BackDoor.Vomba.3
    eSafe 7.0.17.0 2008.11.27 Suspicious File
    eTrust-Vet 31.6.6233 2008.11.27 Win32/VMalum.DJQF
    Ewido 4.0 2008.11.27 Downloader.Agent.qqn
    F-Prot 4.4.4.56 2008.11.27 W32/Downldr2.EKWB
    F-Secure 8.0.14332.0 2008.11.28 Trojan-Downloader.Win32.Agent.afxv
    Fortinet 3.117.0.0 2008.11.27 -
    GData 19 2008.11.28 Trojan.Generic.797264
    Ikarus T3.1.1.45.0 2008.11.28 Trojan-Dropper.Agent
    K7AntiVirus 7.10.536 2008.11.27 Trojan-Downloader.Win32.Agent.qqn
    Kaspersky 7.0.0.125 2008.11.28 Trojan-Downloader.Win32.Agent.afxv
    McAfee 5447 2008.11.27 potentially unwanted program Adware-SurfAccuracy
    McAfee+Artemis 5447 2008.11.27 potentially unwanted program Adware-SurfAccuracy
    Microsoft 1.4104 2008.11.28 -
    NOD32 3647 2008.11.27 Win32/Agent.NUG
    Norman 5.80.02 2008.11.27 -
    Panda 9.0.0.4 2008.11.28 Adware/SpeedRunner
    PCTools 4.4.2.0 2008.11.27 Adware.SpeedRunner
    Prevx1 V2 2008.11.28 Worm
    Rising 21.05.32.00 2008.11.27 Trojan.Win32.Undef.iqc
    SecureWeb-Gateway 6.7.6 2008.11.27 Trojan.Dldr.Agent.qqn
    Sophos 4.35.0 2008.11.28 Mal/Generic-A
    Sunbelt 3.1.1832.2 2008.11.27 WaveRevenue-McBoo
    Symantec 10 2008.11.28 Backdoor.Trojan
    TheHacker 6.3.1.1.166 2008.11.28 -
    TrendMicro 8.700.0.1004 2008.11.27 PAK_Generic.001
    VBA32 3.12.8.9 2008.11.27 Win32.Agent.NUG
    ViRobot 2008.11.27.1489 2008.11.27 Trojan.Win32.Downloader.37888.AA
    VirusBuster 4.5.11.0 2008.11.27 Trojan.DL.Agent.EVJM
    weitere Informationen
    File size: 35328 bytes
    MD5...: 7b1de9d82dafaeb90ae757ede2299f2b
    SHA1..: 52b32afad81eba21e7ba8eee4bfb51031222856a
    SHA256: fba9dcf9a854579ee6c1359cd3216dbac9333c43b543afcf10b3ff4aca1da244
    SHA512: 2619735af7580651d4a9a4c67399692ae5e1c4b3a3a3e8e580adca678eb0ac53
    5e3d21e7c3d470a118b4ec7f2cb919ce32de6fd6b931a36fa96770874f8dc2a2
    ssdeep: 768:bKDDGjN7aZ0G8yTKSUXp3ywPm9a+aKJG12qKTxqnXCLpdkmWyi:+DmNuvUXp
    i0cDaNETwXCLpdkmWyi
    PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
    TrID..: File type identification
    UPX compressed Win32 Executable (39.5%)
    Win32 EXE Yoda's Crypter (34.3%)
    Win32 Executable Generic (11.0%)
    Win32 Dynamic Link Library (generic) (9.8%)
    Generic Win/DOS Executable (2.5%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x41be10
    timedatestamp.....: 0x478770d7 (Fri Jan 11 13:36:23 2008)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    UPX0 0x1000 0x13000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    UPX1 0x14000 0x8000 0x8000 7.85 08c370ae0d7cc030912388e1b7999f0b
    .rsrc 0x1c000 0x1000 0x600 4.07 40c68f040affd5f5c0e69bd462048049

    ( 9 imports )
    > KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
    > ADVAPI32.dll: RegOpenKeyA
    > MFC42.DLL: -
    > MSVCRT.dll: exit
    > ole32.dll: CoInitializeEx
    > SHELL32.dll: ShellExecuteA
    > SHLWAPI.dll: SHSetValueA
    > USER32.dll: SetTimer
    > WININET.dll: InternetOpenA


    AhnLab-V3 2008.12.6.0 2008.12.06 -
    AntiVir 7.9.0.42 2008.12.08 -
    Authentium 5.1.0.4 2008.12.08 -
    Avast 4.8.1281.0 2008.12.08 -
    AVG 8.0.0.199 2008.12.07 -
    BitDefender 7.2 2008.12.07 Trojan.Vundo.FUX
    CAT-QuickHeal 10.00 2008.12.08 -
    ClamAV 0.94.1 2008.12.07 -
    Comodo 708 2008.12.08 -
    DrWeb 4.44.0.09170 2008.12.07 -
    eSafe 7.0.17.0 2008.12.07 Suspicious File
    eTrust-Vet 31.6.6246 2008.12.05 Win32/Vundo.BJQ
    Ewido 4.0 2008.12.07 -
    F-Prot 4.4.4.56 2008.12.04 -
    F-Secure 8.0.14332.0 2008.12.08 -
    Fortinet 3.117.0.0 2008.12.07 -
    GData 19 2008.12.07 Trojan.Vundo.FUX
    Ikarus T3.1.1.45.0 2008.12.08 Trojan.Vundo
    K7AntiVirus 7.10.547 2008.12.06 -
    Kaspersky 7.0.0.125 2008.12.07 -
    McAfee 5456 2008.12.06 -
    McAfee+Artemis 5456 2008.12.06 -
    Microsoft 1.4205 2008.12.08 Trojan:Win32/Vundo.gen!AG
    NOD32 3670 2008.12.08 -
    Norman 5.80.02 2008.12.05 -
    Panda 9.0.0.4 2008.12.07 -
    PCTools 4.4.2.0 2008.12.07 -
    Prevx1 V2 2008.12.08 Malicious Software
    Rising 21.06.62.00 2008.12.07 Trojan.Win32.VUNDO.bux
    SecureWeb-Gateway 6.7.6 2008.12.08 Win32.Malware.gen#UPX (suspicious)
    Sophos 4.36.0 2008.12.07 Troj/Agent-IIR
    Sunbelt 3.1.1832.2 2008.12.01 -
    Symantec 10 2008.12.07 -
    TheHacker 6.3.1.2.179 2008.12.06 -
    TrendMicro 8.700.0.1004 2008.12.08 -
    VBA32 3.12.8.10 2008.12.07 -
    ViRobot 2008.12.6.1504 2008.12.06 -
    VirusBuster 4.5.11.0 2008.12.05 -
    weitere Informationen
    File size: 75776 bytes
    MD5...: bf576ae77ce5e5386eca0b7aa6a0e113
    SHA1..: 25e93d27cdb5e98c696b94c4ba71914449ac4ae7
    SHA256: a52b3230a87958a9b328f95649cd51dad76b6c539087e97cb85d4587a0e24d06
    SHA512: c83cfd830cbb7d016db08522ec2a33b681d953998db78fce4436882e2651e0b9
    0acf6ead653455156b92fd5d180a0eb83707b823cad341fb88400e8f2fb7da90
    ssdeep: 1536:LevsOQ2Dmg1aP+bb1gxqvHPGsWF8Wr+imhGjZvHL2jDCLelEOxMK/ILXrJg
    i6V:C0OJW+bbJesrWr+YjZ/LcCIpQBgdV
    PEiD..: -
    TrID..: File type identification
    UPX compressed Win32 Executable (39.5%)
    Win32 EXE Yoda's Crypter (34.3%)
    Win32 Executable Generic (11.0%)
    Win32 Dynamic Link Library (generic) (9.8%)
    Generic Win/DOS Executable (2.5%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x100228e0
    timedatestamp.....: 0x48ec4ddd (Wed Oct 08 06:06:21 2008)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    UPX0 0x1000 0x10000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    UPX1 0x11000 0x12000 0x11c00 7.77 fa1b190cbf06ae5a5ef26e7006677cee
    .rsrc 0x23000 0x1000 0x800 3.24 28f6bde074ceec1765382b94a9fd77a5

    ( 3 imports )
    > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
    > advapi32.dll: RegEnumKeyA
    > user32.dll: EndDialog


    AhnLab-V3 - - -
    AntiVir - - -
    Authentium - - -
    Avast - - -
    AVG - - Downloader.Generic6.QDM
    BitDefender - - -
    CAT-QuickHeal - - -
    ClamAV - - -
    DrWeb - - -
    eSafe - - Suspicious File
    eTrust-Vet - - -
    Ewido - - -
    F-Prot - - -
    F-Secure - - -
    Fortinet - - -
    GData - - -
    Ikarus - - -
    K7AntiVirus - - -
    Kaspersky - - -
    McAfee - - -
    Microsoft - - -
    NOD32 - - -
    Norman - - -
    Panda - - -
    PCTools - - -
    Prevx1 - - -
    Rising - - -
    SecureWeb-Gateway - - -
    Sophos - - -
    Sunbelt - - -
    Symantec - - -
    TheHacker - - -
    TrendMicro - - -
    VBA32 - - -
    ViRobot - - -
    VirusBuster - - -
    weitere Informationen
    MD5: dfea57f56092b33484d18bf5fde73fb9
    SHA1: 957791dc0b0706542feb40606fe694bb6703c5f9
    SHA256: 4078226af61e032e4c0d24c0daa84f48072769399466c973edec0ffba2c3712a
    SHA512: b571e74747ad07043942569171322888e521bb661b32c88f2fae0187b69fb2764e98146d9b0cd2ea719093642215c48b107e5b5aff0ad4197e2a473de302f385
     
    dejavue123, Dec 8, 2008
    #3
  4. -humi-

    -humi- Joker

    ich sehe schwarz.. hat sich bewahrheitet...


    Trojan-Downloader.Win32.Agent.afxv udn Vundo an Bord, verheissen alles andere als gutes...

    also ich persönlich würde neuaufsetzen, da Reinigungsbasteleien keinen Erfolg garantieren können....
     
    -humi-, Dec 8, 2008
    #4
  5. dejavue123

    dejavue123 ROM

    Gibts net noch ne andere Lösung?
    Wäre net wenn es da noch was gitb ^^ da ich leider meinen pc net neu mahcen kann .. hab meine windows cd verlegt
     
    dejavue123, Dec 8, 2008
    #5
  6. -humi-

    -humi- Joker

    es gibt die Möglichkeit eine Bereinigung zu versuchen, welche jedoch:

    keine Sicherheit garantiert,
    Zeitaufwand mittel bis hoch

    sprich es besteht immer die Möglichkeit, dass private Daten, Passwörter, Inet Banking, Photos, etc an Fremde weitergeleitet werden können- dieser Gefahr musst du dir bewusst sein,...


    als erstes musst du den bafallenen PC vom Netzwerk trennen und über einen anderen die Arbeit fortführen- ich klinke mich für heute aus...

    Sprich Fortführung wäre ab morgen möglich...

    Tip: klicke in meiner Signatur auf Schädlingsbefall
     
    -humi-, Dec 8, 2008
    #6
  7. Warp9

    Warp9 Byte

    hatte gerade genau das gleiche Problem und war dicht dran mein windows neu aufzuspielen.
    Antivir guard hat ca alle 2 std alarm gemacht und den dldr.agent gemeldet ,antivir konnte ihn aber selbst nicht finden.
    Daraufhin hab ich ad-aware,spyware doctor und hijackthis probiert.
    Die haben zwar alles mögliche gefunden aber dieser lästige agent blieb.
    Das einzige was letztendlich gehölfen hat war escan (( http://www.escan.de/ ) 30 Tage kostenlos)
    Aber nicht wie überall beschrieben im abgesicherten modus ,da hat escan auch nix gefunden , sondern im "normalen" windows.

    Anschliessend noch alle Dateien im Temp und Temporary Internet Files Ordner löschen (Dokumente und Einstellungen\username\Lokale Einstellungen)
    Wenn sich die Dateien dort nicht löschen lassen weil sie angeblich in gebrauch sind,ein script erstellen zb. "Loeschen.cmd" mit folgendem Inhalt:

    RD /S /Q "C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temporary Internet Files"
    RD /S /Q "C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp"

    und eine Verknüpfung zu diesem script in den Autostart Ordner kopieren.
    Dann werden dort alle Dateien beim Windows-start gelöscht.

    Escan hab ich dann wieder deinstalliert weils ne ziemlich nervige firewall aufgebaut hat und wirklich alles geblockt hat was sich auf dem pc rührte.

    wenns klappt trotzdem vorsichtshalber alle Passwörter ändern.
    hoffe es ist noch nicht zu spät.
    viel glück
     
    Warp9, Dec 30, 2008
    #7
  8. Kany

    Kany Byte

    Quark!

    Ey kein escan!

    Versuchs mal damit:

    Malwarebytes' Anti-Malware:

     Downloade dir MalwareBytes herunter
     Installiere es
     Befolge die Anleitung (führe einen kompletten Scan aus!)

    [​IMG]

     Poste den entstandenen Log


    Allerdings muss ich Recht geben Neuaufsetzen wäre die sicherste Methode!
     
    Kany, Dec 31, 2008
    #8
  9. -humi-

    -humi- Joker

    @Kany: der TO hat sich seit 8.12. nicht gemeldet- ergo kein Interesse seinerseits- und Mbam ist in der verlinkten Anleitung vorhanden und reicht "allein" nicht aus
     
    -humi-, Dec 31, 2008
    #9
  10. hans10

    hans10 CD-R 80

    ... es ist doch erstaunlich, dass es immer noch user gibt,
    die einem gereinigeten system noch vertrauen. :spitze:

    wer gibt denn die garantie,
    dass alle schädlinge gefunden wurden?
     
    hans10, Dec 31, 2008
    #10
  11. -humi-

    -humi- Joker

    Hans mach mich nicht arbeitslos :D

    deswegen auch meistens mein Hinweis

    es kommt in erster Linie immer darauf an welcher Übelwicht seine krallen ausfährt...
    und ob man dann blind einem 0815 Programm vertraut....
     
    -humi-, Dec 31, 2008
    #11
  12. hans10

    hans10 CD-R 80

    ... da brauchste dir keine gedanken machen.
    die überallhinklicker und mussichauchhaben sterben bestimmt nicht aus. [​IMG]
     
    hans10, Dec 31, 2008
    #12
  13. Warp9

    Warp9 Byte

    Warp9, Dec 31, 2008
    #13
  14. -humi-

    -humi- Joker

    kommt jetzt die Generation: "ein Klick und das Sys ist sauber" ins Forum?
    wie Hans sagte: ein befallenes System ist grundsätzlich nicht vertrauenswürdig und wird es auch nicht mehr so schnell...

    Die einzig wahre Lösung ist und bleibt das Neuaufsetzen bzw. ein sauberes Image einspielen, alles andere kommt immer wieder auf die Art und Ausdehnung des Befalls an....

    @Warp9 und Kany: lernt die Grundprinzipien des Säuberns und des Elements und spammt nicht fremde Threads voll
     
    -humi-, Dec 31, 2008
    #14
  15. Kany

    Kany Byte

    @ Warp9 scho mal geguckt wann denn das Programm empfohlen wurde?
    escan hat zu viele false positive

    @humi
    Dann könnten Trojaner-board und Protectus etc. alle zu machen und nur eine Anleitung zum Neuaufsetzen posten? Klar Neuaufsetzen ist das beste, aber wenn jemand nicht Neuaufsetzen will, dann versuch ich es eben mit allem möglichen zu verhindern.
     
    Kany, Jan 2, 2009
    #15
Thread Status:
Not open for further replies.

Share This Page